Avasts antivirus-app sælger "hver søgning", "hvert klik", "hvert køb på hvert websted, du besøger." Købere inkluderer Home Depot, Google, Microsoft, Pepsi og McKinsey.
(udgivet med forkortelser)
Brugt af hundreder af millioner af mennesker rundt om i verden, sælger et antivirusprogram personlig personlige browserdata til mange af de største virksomheder i verden. Dette fremgår af en fælles undersøgelse fra portaler Motherboard og PCMag. Materialet er baseret på "lækkede" virksomhedsdokumenter, der beviser, at det firma, der ejer antivirus, sælger meget fortrolige data.
Dokumenterne, der ejes af Jumpshot, et datterselskab af antivirusgiganten Avast, kaster nyt lys over den skjulte historie med at sælge personlige internetdata. Avast-antivirus, der er installeret på en persons computer, indsamler data, og Jumpshot “pakker” det ind i forskellige produkter, som derefter sælges til mange af de største virksomheder i verden. Indkøbslisten inkluderer giganter som Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot, Condé Nast, Intuit og mange flere. Nogle kunder har betalt millioner af dollars for produkter, der inkluderer en såkaldt “alle-klik-kanal”, som kan spore brugeradfærd, klik og webstedsnavigation med høj nøjagtighed.
Avast hævder at have over 435 millioner månedlige aktive brugere, og Jumpshot indsamler data fra 100 millioner enheder. Avast indsamler brugerdata og sender dem derefter til Jumpshot, men flere Avast-brugere fortalte Motherboard, at de ikke var klar over, at deres data blev delt med tredjepart.
I henhold til Motherboard og PCMag inkluderede disse personlige data Google-søgninger, Google Maps-placeringer og GPS-koordinater, LinkedIn-sider, private YouTube-videoer og information om besøgte pornosider. Ved hjælp af den indsamlede datapool er det muligt at bestemme, hvornår en anonym bruger har besøgt YouPorn og PornHub, og i nogle tilfælde endda søgninger og specifikke videoer, der er set.
Selvom datasættene ikke inkluderer personlige oplysninger såsom brugernavne, indeholder de stadig en masse specifikke data, og eksperter siger, at det ikke er så svært at deanonymisere en bestemt person, der bruger dem.
I en pressemeddelelse, der blev udsendt i juli, hævder Jumpshot at være "det eneste firma, der afslører en række hemmeligheder," og er forpligtet til at "give markedsførere en dybere forståelse af kundens online aktivitet." "De er meget detaljerede og af stor interesse for købere, fordi de er på enhedens niveau med et tidsstempel," kommenterede Motherboards kilde, idet de citerede detaljerne og følsomheden af de data, der sælges.
Salgsfremmende video:
Indtil for nylig indsamlede Avast trafikdata fra kunder, der installerede et browser-plug-in udviklet af virksomheden for at advare brugerne om mistænkelige websteder. Sikkerhedsforsker og skaber af AdBlock Plus, Vladimir Palant, udgav et blogindlæg i oktober med påstand om, at Avast indsamler brugerdata ved hjælp af plugin. Kort derefter fjernede browserproducenterne Mozilla, Opera og Google Avast-udvidelserne fra deres respektive butikker. Avast forklarede tidligere denne dataindsamling og deling i en blog og et forumindlæg i 2015. Siden da har Avast angiveligt stoppet med at sende browserdata indsamlet af disse udvidelser.
Imidlertid fortsætter dataindsamlingen, angiver kilden og dokumenter. I stedet for at indsamle information ved hjælp af software, der er tilsluttet browseren, gør Avast det ved hjælp af selve antivirusprogrammet. Sidste uge, måneder efter, at det blev opdaget ved hjælp af browserudvidelser til at sende data til Jumpshot, begyndte Avast at bede sine antiviruskunder om at tillade dataindsamling.”Hvis brugerne er enige, begynder enheden at registrere al kundens online aktivitet,” siger den interne produktmanual.
Bundkort og PCMag kontaktede mere end to dusin virksomheder nævnt i interne arkiveringer. Få besvarede spørgsmål om, hvad de gør med data, der er baseret på browserhistorikken for Avast-brugere.
”Vi bruger undertiden oplysninger fra tredjepartsudbydere til at hjælpe med at forbedre vores forretning, produkter og tjenester. Vi kræver, at disse leverandører har de rette rettigheder til at give disse oplysninger til os. I dette tilfælde modtager vi anonyme publikumsdata, der ikke kan bruges til at identificere individuelle kunder,”sagde en talsmand for Home Depot via e-mail.
Microsoft afviste at kommentere detaljerne ved at erhverve produkter fra Jumpshot, men sagde, at det ikke havde et løbende forhold til virksomheden. En talsmand for Yelp skrev i en e-mail:”I 2018 blev Yelp-teamet bedt om at vurdere Googles indflydelse på det lokale søgemotormarked som led i en antitrustanmodning om information. Jumpshot blev brugt ad gangen."
Southwest Airlines sagde, at det har drøftet et partnerskab med Jumpshot, men ikke har nået en aftale med virksomheden. IBM sagde, at det ikke fungerede med Jumpshot, og Altria sagde, at det ikke fungerede med Jumpshot nu, selvom det ikke angav, om det gjorde det før. Sephora erklærede, at dette ikke fungerer med Jumpshot. Google svarede ikke på en anmodning om kommentar.
På sin hjemmeside og i pressemeddelelser navngiver Jumpshot Pepsi samt konsulterer giganterne Bain & Company og McKinsey som klienter.
Ud over Expedia, Intuit og Loreal inkluderer andre virksomheder, der endnu ikke er med i Jumpshots offentlige meddelelser, kaffefirmaet Keurig, YouTube vidIQ og Hitwise, et forbrugerundersøgelsesfirma. Ingen af disse virksomheder besvarede en anmodning om kommentar.
På deres websted viser Jumpshot nogle af de tidligere brugssager til deres data. For eksempel brugte Condé Nast Jumpshot-produkter for at se, om et medievirksomheds annonce førte til køb på Amazon og andre steder. Condé Nast svarede ikke på en anmodning om kommentar.
Jumpshot sælger forskellige produkter baseret på data indsamlet af Avast antivirus-software installeret på brugernes computere. Kunder i den institutionelle finanssektor køber ofte kanaler fra 10.000 domæner, som Avast-brugere besøger for at prøve at få øje på trends, siger produktguiden.
Et andet Jumpshot-produkt er det såkaldte "All Click Feed". Dette giver kunden mulighed for at købe oplysninger om alle de klik, Jumpshot har set på et specifikt domæne, f.eks. Amazon.com, Walmart.com, Target.com, BestBuy.com eller Ebay.com.
I en tweet, der blev sendt i sidste måned med målet om at tiltrække nye kunder, bemærkede Jumpshot, at han samler “Hver søgning. Hvert klik. Oplysninger om hvert køb på hvert websted."
Jumpshot-data viser måske nogen med Avast installeret på deres computer googler for et produkt, klikker på et link, der fører til Amazon, og derefter eventuelt tilføjer varen til deres indkøbsvogn på et andet websted, før man endelig, køb et produkt.
Et af de virksomheder, der erhvervede All Clicks, er det New York-baserede marketingfirma Omnicom Media Group. I henhold til kontrakten betalte Omnicom Jumpshot $ 2.075.000 for datatilgang i 2019. Handlen omfattede også et andet produkt kaldet Insight Feed til 20 forskellige domæner. Datagebyrer i 2020 og derefter i 2021 er angivet til henholdsvis $ 2.225.000 og $ 2.275.000, siger dokumentet.
Jumpshot gav Omnicom adgang til alle klikkanaler fra 14 forskellige lande rundt om i verden, herunder De Forenede Stater, England, Canada, Australien og New Zealand. Produktet inkluderer også det tilsigtede køn for brugere "baseret på browseadfærd", deres estimerede alder og "hele URL-streng", men med personlig identificerbar information (PII) fjernet.
Omnicom besvarede ikke flere anmodninger om kommentar.
Ved kontrakt er hver brugers "enheds-id" hashet, hvilket betyder, at virksomheden, der køber dataene, ikke behøver at være i stand til at afgøre, hvem der nøjagtigt er bag hver visning. I stedet skal Jumpshot-produkter hjælpe virksomheder med at forstå, hvilke produkter der er særlig populære, eller hvor effektiv en reklamekampagne er.
Men Jumpshot-data kan ikke være helt anonyme. Den interne produktmanual angiver, at enheds-id'er ikke ændres for hver bruger "medmindre brugeren helt afinstallerer og geninstallerer sikkerhedssoftwaren." Talrige artikler og videnskabelige undersøgelser har vist, at det er meget muligt at udsætte personer, der bruger såkaldte anonyme data. I 2006 kunne New York Times-journalister identificere en bestemt person fra en cache med angiveligt anonyme søgningsdata, som AOL offentliggjorde. Mens de verificerede data var mere fokuseret på sociale medier, som Jumpshot redigerede, fandt en undersøgelse fra 2017 ved Stanford University, at det var muligt at identificere personer fra anonyme data online.
Bundkort og PCMag stillede Avast en række detaljerede spørgsmål om, hvordan det beskytter brugernes anonymitet, og anmodede også om detaljer om nogle af virksomhedens kontrakter. Avast besvarede ikke de fleste af spørgsmålene, men udsendte en erklæring: "Gennem vores tilgang sikrer vi, at Jumpshot ikke modtager personligt identificerbare oplysninger, herunder navn, e-mail-adresse eller kontaktoplysninger fra folk, der bruger vores populære gratis antivirus-software."
”Brugere har altid haft muligheden for at fravælge kommunikation med Jumpshot. Fra juli 2019 er vi allerede begyndt at implementere eksplicit valg til alle nye downloads af vores antivirus, og vi anmoder nu også om tilladelse fra vores eksisterende gratis brugere - en proces, der vil blive afsluttet i februar 2020,”sagde en talsmand for Avast og tilføjede, at virksomheden overholder Californiens forbrugerbeskyttelseslov (CCPA) og den generelle europæiske databeskyttelsesforordning (GDPR) for hele dens globale brugerbase.
”Vi har en lang historie med at beskytte brugerenheder og data mod malware, og vi forstår og tager alvorligt ansvaret for at afbalancere brugernes privatliv med den nødvendige brug af data,” siger det i erklæringen.
Da en PCMag-journalist først installerede Avasts antivirusprodukt denne måned, spurgte programmet, om han ville deltage i dataindsamlingen.
”Hvis du vil, leverer vi vores datterselskab Jumpshot Inc. et dedikeret og de-identificeret datasæt, der stammer fra din browserhistorie, så Jumpshot kan analysere markeder og forretningstendenser og samle andre værdifulde indsigter,”siger meddelelsen. Pop-up'en detaljerede imidlertid ikke nøjagtigt, hvordan Jumpshot bruger disse data.
”Oplysningerne er fuldstændigt de-identificeret og samlet, de kan ikke bruges til personlig identifikation. Jumpshot kan dele aggregerede oplysninger med sine kunder,”tilføjede en popup.
Opdatering: Efter frigivelsen af denne undersøgelse meddelte Avast, at den suspenderer dataindsamling ved hjælp af Jumpshot.
Af Joseph Cox
